fbpx

El manual de la ciberseguridad

Resumen del libro

El manual de la ciberseguridad

Cómo cada líder y empleado pueden contribuir a una cultura de seguridad

Por Allison Cerra

Síntesis y comentarios por Jesús Gómez Espejel

DESCARGAR PDF

Video 1

Mucha ciberseguridad de la compañía depende de los buenos hábitos de los empleados.

Una de cada cinco violaciones de seguridad está relacionada con errores negligentes de los empleados. La práctica diaria  de los empleados, representa una de las defensas más vitales contra el ciberespacio, por ejemplo, hacer una contraseña segura, a menudo la cambia y no la usa nuevamente. Los empleados deben familiarizarse con las tácticas habituales de Jáquers, incluidos los correos electrónicos de phishing.

Deben consultar con seguridad antes de usar servicios y equipos en la nube, usar unidades de disco duro cifrado, informar correos electrónicos y actividades sospechosos, nunca dejar computadoras portátiles y otros dispositivos con información confidencial y, simplemente, explicar que la prevención de Jácers no solo cae sobre la seguridad cibernética del equipo : Todos deben contribuir.

En la mayoría de las organizaciones, los correos electrónicos de phishing lograron engañar a alrededor del 4% de los empleados y ejecutivos. Este correo electrónico, a menudo bajo la apariencia de mensajes de gerentes o colegas, sugieren al destinatario a hacer clic en el enlace o descargar archivos. Al hacerlo, pueden comprometer sus credenciales de acceso, liberar virus o entregar una chaqueta a la red de la compañía. Capacitación de empleados para aprender a detectar esfuerzos de phishing e informarlo al departamento de TI.

Convencer a los empleados de que hagan esto es muy difícil en la mayoría de las organizaciones. Desafortunadamente, aquellos que son responsables de la seguridad cibernética generalmente actúan en las sombras y, cuando aparecen, sus normas y restricciones suelen ser burlándose y recibiendo.

Solo si la práctica y los hábitos seguros se tejen en la cultura organizacional, el Director de Protección de la Información (DPI) y sus equipos pueden preparar a las empresas para ataques y minimizar el daño. No existe una organización que pueda prevenir los ataques del ciberespacio, pero pueden responderles de manera rápida y eficiente.

La dirección y la junta directiva deben discutir la seguridad cibernética en cada reunión de la junta.

La preparación en la ciberseguridad requiere esfuerzos conjuntos de todas las organizaciones, dirigidos por DPI que tienen los oídos de la junta directiva y los altos ejecutivos. Todos los miembros de la organización deben ser responsables de proteger los datos, ya sea que estén detrás del firewall y si están en la nube o en el teléfono inteligente personal de un empleado.

A menos que algunos gerentes o miembros de la junta de la junta directiva crean que la seguridad cibernética pertenece a la parte trasera de la sala, suponga que la compañía pierde más de 600,000 millones de dólares cada año debido al ciberespacio, el tercer techo económico mundial más grande, que incluye más de

Más que ataques diarios de tamaño mediano. De hecho, el 25% de las empresas sufren al menos una brecha de seguridad cada 24 meses. Cada vez más, el gobierno castiga esta violación con una multa para la empresa. En la UE, por ejemplo, una multa promedio bajo la regulación general de protección de datos de casi 4 millones de dólares en 2018.

Quizás lo más preocupante de todo es que el mercado de talentos para los profesionales de ciberseguridad actualmente carece de unos dos millones, incluso cuando los ciberdelincuentes obtienen sofisticación en tácticas y herramientas.

Las nuevas técnicas que son casi todos los días y surgen una combinación de tácticas: desde programas para el cibersecuestro de información (ransomware), con lo que los jáquers retienen información que han sustraído hasta que se pague un mondo económico como rescate (con criptodivisas no rastreables), hasta la denegación de servicio, cuando los ciberdelincuentes sobrecargan los sitios web con consultas hasta que se desploman.

Aunque los medios los presentan como lobos solitarios,  los Jáquers está regulado en una comunidad en una red profunda, donde comparten información, estrategias y compran y venden contraseñas robadas.

El director ejecutivo y los miembros de la junta directiva deben darse cuenta de que para DPI significa luchar en la escalada continua con pasos y control, sin fin el  juegos de ajedrez. Y a pesar de que compiten más de 3.500 proveedores de software de ciberseguridad, no hay herramientas para resolver problemas.

Desafortunadamente, la tecnología tiene una breve vida útil porque los Jáquers continúa verificándolo para encontrar puntos vulnerables. En resumen, este es un juego donde DPI siempre debe ganar; Criminales, solo una vez.

Para evitar esta probabilidad y proteger los activos de la compañía más importantes y estratégicos, el director ejecutivo y la junta directiva deben incluir problemas de seguridad cibernética en la agenda de todas las reuniones del consejo. En él, DPI debe presentar y actualizar el consejo desde la perspectiva de la gestión estratégica de riesgos y explicar cómo la compañía protege sus activos más importantes. Por ejemplo, DPI puede resumir las conclusiones de la prueba de penetración de seguridad. Estos ejercicios enfrentan piratas de computadoras externas alquilados por el equipo interno de seguridad cibernética para exponer vulnerabilidad y escenarios en varios tipos de ataques.

Con actualizaciones periódicas del DPI, la junta directiva y el director ejecutivo deben asignar un presupuesto de seguridad para apoyar la protección de los activos de la compañía que son los más importantes, estratégicos y vulnerables.

Los diseñadores de productos deben incorporar seguridad en productos y dispositivos conectados a la red desde el principio.

Los ataques recientes de Jáquers están atrayendo la atención de los medios de comunicación. En octubre de 2016, los proveedores de sistemas de Ataque de Nombre de Dominio y Nombres de Dominio (DNS) han colapsado el acceso a los sitios web más populares como Twitter y Netflix. Jáquers comienza estos ataques utilizando ejércitos de bots y accede a docenas de dispositivos conectados por la familia estadounidense promedio, como los bebés y los monitores de jugadores digitales. El ataque de Dyn fue inconveniente para millones de estadounidenses, pero el espectro de futuros ataques filtrados a través de redes corporativas aumentó. En el futuro, los ataques similares a los flotadores autoconductores de inducción derivada automática pueden causar daño inimaginable.

Las lecciones de Dyn y otros ataques potenciales están relacionados con productos y dispositivos conectados a las redes de mercado. Los desarrolladores están obligados a usar la seguridad en el diseño del producto después de la fase mínima del producto ejecutable (PMV).

Esto significa generar condiciones de seguridad como requisitos, no como ideas posteriores, y asignar la responsabilidad de la supervisión y el mantenimiento continuos de la seguridad a los gestores de productos a lo largo del ciclo de vida del producto.

Si se sospecha o detecta un fallo de seguridad del producto, debe tener la autoridad para detener la producción o las ventas hasta que se resuelva. De hecho, debe recibir recompensas y percepciones para hacerlo.

El área de recursos humanos juega un papel importante en el desarrollo de la conciencia, las habilidades y la resistencia en la seguridad cibernética.

La mayoría de las empresas no pueden encontrar los talentos de seguridad informática necesarios porque la rareza del talento es enorme en los Estados Unidos y el mundo. Los expertos en recursos humanos pueden mejorar este problema si buscan un candidato para información de calificación no obvia. Primero, una mujer.

La primera programación de computadoras fue una mujer, después de las décadas de 1940 y 1960. El mejor salario, la inscripción universitaria y los prejuicios de las expresiones de los medios populares y los medios populares se combinan para crear ciencias de la computación, y la programación no es atractiva para las mujeres. Las mujeres, las minorías y las personas con menos credenciales, pero con excelentes habilidades necesitan más estímulos y oportunidades para ingresar al campo.

Recursos humanos necesita llevar la capacitación de los empleados sobre los conceptos básicos de excelentes prácticas de seguridad cibernética. Ajuste los programas de recompensas y reconocimiento para promover un excelente comportamiento de seguridad (incluidas las quejas irregulares). Continúe confirmando la necesidad de personal, personal, datos confidenciales y repositorio. Agregue preguntas a las entrevistas laborales para que pueda tener en cuenta la experiencia y las actitudes de los candidatos de seguridad. Además, asegúrese de que cada ejecutivo tenga al menos una métrica relacionada con la seguridad cibernética en el plan de rendimiento.

Desarrollar y practicar la implementación de planes de comunicación detallados y respuesta a importantes violaciones de seguridad.

El sigilo de los Jáquers es uno de los aspectos de seguridad cibernética más aterrador. En promedio, la brecha ocurre seis meses antes de que la compañía sepa lo que sucedió, y luego se necesitan más meses para mantenerla. Después de que se conoce la violación, la compañía promedio tarda otro mes en informar a los clientes. En cambio, informa inmediatamente, progresar a la historia para reducir el daño y atender a sus clientes éticamente. Cuando lo anuncio, haga el tema de las víctimas, los clientes, no sobre la empresa.

Prepárese antes de la brecha. Con su DPI, planifique un escenario para varios tipos de violaciones y pruebas de su reacción.

Cree un plan de comunicación completo: quién dirá y cuándo; Cómo cambiará su mensaje dependiendo del nivel de negligencia de la empresa; Cómo manejará la información que surge y cómo compensar los clientes afectados.

Sepa quién hará qué, en secuencia, minutos tras minuto después de encontrar brechas. Prepare su mensaje primero: corrección electrónica, declaración ejecutiva, comunicado de prensa, sobre lo que su empresa debe hacer. Incluyendo disculpas sinceras y empáticas.

Tener respuestas a preguntas difíciles preparadas.

Con la gestión de riesgos en su núcleo, la seguridad cibernética ingresa plenamente a los intereses y responsabilidades del director de finanzas.

Desafortunadamente, la relación entre DPI con el Director de Finanzas es tensa en muchos casos porque buscar ROI y DPI nunca puede ofrecerlo. DPI debe repensar su conversación con el director de finanzas del enfoque de ROI para la gestión de riesgos. Por ejemplo, si el Director de Finanzas pregunta por qué las empresas deben comprar software o nuevas plataformas de seguridad, conectando sus solicitudes con la protección de la protección de activos estratégica, importante y vulnerable, lo que debería ser riesgoso. En la medida de lo posible, calcule el daño financiero que puede ser causado por la brecha. No puede proporcionar garantías, pero puede estimar la reducción del riesgo y la posibilidad de evitar pérdidas. El idioma que use con el director de finanzas también tendrá resonancia en el director ejecutivo y el consejo.

Por otro lado, el director de finanzas debe ser responsable del DPI sobre cómo usan los recursos en el pasado. Por ejemplo, ¿ha utilizado tecnología de seguridad previa o algunos permanecen en el estante? ¿Ha mantenido la efectividad del producto anterior, por ejemplo, con los últimos parches y actualizaciones? ¿Cuándo fue la última vez que hicieron la prueba de penetración y cuáles fueron los resultados?.

El Director de Finanzas también debe asegurarse de que toda la cadena de suministro esté de acuerdo con los estándares de seguridad informática, incluidos los socios subcontratantes, proveedores y nuevos productos o plataformas que se están considerando. Casi tres cuartos de las empresas hacen todo o parte de su tecnología de la información, incluida la seguridad cibernética, y alrededor del 60% sufren violaciones causadas por proveedores y socios. Aunque el subcontrato de algunos componentes de seguridad cibernética puede tener sentido (por ejemplo, la prueba de penetración), el Director de Finanzas y DPI debe garantizar que la responsabilidad central permanezca dentro de la Compañía: el equipo interno puede alcanzar un mayor nivel de preparación que un socio externo.

Los directores de seguridad de la información admiten mucha carga.

El DPI necesita superar la resistencia a los protocolos de seguridad y ganar respeto por los altos ejecutivos y la Junta Directiva. Si desea utilizar una herramienta y un servicio naturalmente útiles, monitoree al empleado que ha ejecutado o encuentre el saldo ejecutado del empleado. Todos le permiten hacer lo que quiere para exponer a la empresa a un riesgo grave.

Para las juntas y ejecutivos, los DPI deben convertir las amenazas en estrategias y riesgos. Los recorridos con guías para la red profunda de DPI pueden mostrar a los líderes que cualquiera puede comprar fácilmente una contraseña de servicio en la nube de la empresa si la dependencia de estos servicios está creciendo.

Los DPI también pueden compartir resultados de las pruebas de pesca que indican el porcentaje de empleados y ejecutivos que muerden anzuelos. Los DPI no deben aceptar las mejores prácticas básicas de seguridad entre los empleados y los socios, como la gestión de contraseñas y las copias de seguridad cifradas de datos.

Por supuesto, los DPI deben trabajar en línea con el director de información. Esto incluye métricos, importantes indicadores de rendimiento, calendarios de pruebas de penetración y compras planificadas.

Los directores de información y los DPI generalmente chocan cuando se oponen a la tecnología propuesta por la primera. Evite adoptar los servicios como un agente de seguridad de acceso a la nube que lo ayudará a administrar la seguridad.

Los DPI necesitan engañar a Jackers con señuelos, mantenerlos alejados de datos valiosos y usar IA para encontrar ataques.

AI promete automatizar la detección de amenazas. Esto permite a las empresas usar recursos humanos raros con seguridad cibernética rara. Por otro lado, requiere recursos para traer e investigar cosas positivas más incorrectas.

Además, al igual que con otras herramientas que se pueden usar en DPIS,  los Jáquers también tiene IA, y para dilucidar modelos de aprendizaje automático corporativo y crear positivos incorrectos a gran escala, ya se usa el aprendizaje automático.

En resumen, la organización debe desarrollar un sexto sentido para detectar amenazas y brechas, ya que la seguridad ha dominado la cultura de la industria de la aviación. Posibles resultados solo cuando la seguridad cibernética se inyecta en la cultura.